Mémoire de Projet de Fin d’Études

Présenté en vue de l'obtention d'un

Master en Ingénierie des Systèmes, Réseaux et Sécurité

Sujet :
Etude et mise en place d’une Plateforme de
gestion des évènements de sécurité (SIEM)

JALON 1
Livrable : Cahier des charges

Equipe du projet :
- ...
- ...
- ...
 SOMMAIRE
CADRE DU PROJET .......................................................................................................................... 1

1. Présentation de l’entreprise ....................................................................................................... 1

2. Problématique ........................................................................................................................... 1

3. Objectifs .................................................................................................................................... 1

4. Périmètre du projet .................................................................................................................... 1

EXPRESSION DES BESOINS ........................................................................................................... 2

1. Besoins fonctionnels ................................................................................................................. 2

2. Besoins non fonctionnels .......................................................................................................... 2

3. Critères d’acceptabilité ............................................................................................................. 2

DEROULEMENT DU PROJET.......................................................................................................... 3

1. Contraintes éventuelles ............................................................................................................. 3

2. Livrables.................................................................................................................................... 3

3. Planning .................................................................................................................................... 3
CADRE DU PROJET
1. Présentation de l’entreprise
IT Consulting est une PME dans le domaine des systèmes d’information technologiques. Leader
dans le marché avec des produits au profit des grands acteurs du secteur bancaire, de la finance,
de l’assurance et les secteurs de l’industrie.
Convaincu des innombrables potentialités offertes par les nouvelles technologies de l’information
et de la communication, IT Consulting lance un projet de modernisation de son système
d’information pour accroitre sa compétitivité et se doter d’un ensemble de technologies de
supervision de la sécurité réseau qui fournissent une vue en hauteur de la sécurité du Système
d’Information avec des tableaux de bord, des alertes, des statistiques, etc.

2. Problématique
Face aux multiples formes que peuvent prendre les attaques sur les systèmes d’information, des
outils d’analyse et de corrélation de journaux d’événements s’avèrent indispensables.
La problématique récurrente est comment gérer un tel volume de données sachant que IT
Consulting comme une PME génère environ 1Go des logs par jour.
Le constat montre qu’il faut autant de personnes à plein temps pour analyser en permanence ces
événements, en plus :
- Aucune trace ou analyse pour comprendre qui fait quoi et comment sur le SI
- Pas de consolidation, ni d’archivage des évènements et des informations provenant du réseau et
des dispositifs de sécurité.
- Pas de corrélation des informations collectées pour identifier les comportements suspects ;
- Pas de conformité à la règlementation sur l’intégrité des informations (ISO 27002)
3. Objectifs
Doter l'entreprise d'un système de gestion des événements (logs) du système d’information
permettant de collecter en temps réel des logs de sources diverses, de les analyser, de les agréger
et de les corréler, dans l’objectif de détecter des incidents de sécurité.
Les enjeux du projet sont :
- Analyser et comprendre qui fait quoi, comment sur le SI ;
- Consolider et archiver des informations venant de sources et systèmes très hétérogènes ;
- Corréler les informations pour identifier des comportements suspects ;
- Répondre aux incidents et permettre des analyses de type forensics (investigation numérique)
exploitant au maximum les traces (logs) récoltées.
- Détecter les comportements anormaux d’utilisateurs, des serveurs, des applicatifs et du réseau.
- Élaborer des tableaux de bord de sécurité opérationnelle à destination des responsables
techniques mais aussi de la direction.
4. Périmètre du projet
- Être en conformité à la règlementation sur l’intégrité des informations (ISO 27002).
- Contrôler la conformité à des contraintes réglementaires et à la politique de sécurité
EXPRESSION DES BESOINS
1. Besoins fonctionnels
Une plateforme SIEM doit être parfaitement configurée pour exploiter et corréler correctement
les données collectées à contenues intégrales, les données statistiques, les données de sessions, les
données d’alertes et les données de gestion et d’analyse des logs.
Un projet SIEM doit répondre à un ensemble des besoins et des objectifs, notamment :
- Evaluer la quantité d’événements à traiter, et à stocker.
- Définir une nouvelle architecture en adéquation avec l’infrastructure existante.
- Choisir l’emplacement des agents de collecte au plus près des sources d’événements.
- Déployer et implémenter une solution SIEM.
- Définir les actifs du SI pour avoir une corrélation enrichie et identifier les risques et les
comportements suspects
- Mettre en place les règles de filtrage et d’agrégation des événements.
- Définir les règles de corrélation, puis définir les règles de reporting.
- Générer des tableaux de bord et de rapports pour avoir une visibilité sur la sécurité et la
conformité du SI.
2. Besoins non fonctionnels
La solution SIEM recueille et agrège les données générées dans toute l'infrastructure
technologique, depuis les systèmes hôtes et les applications jusqu'au réseau et aux dispositifs de
sécurité tels que les pare-feux et les filtres antivirus.
L’enjeu consiste donc à enrichir l’offre de manière à disposer d’une solution :
- Multimodales avec une capacité de gérer une grande variété de données issues de capteurs
hétérogènes avec les connecteurs appropriés et de développer de nouveaux capteurs ;
- Forte capacité de corrélation pour prendre en charge un traitement à très haut débit
d’événements, une analyse big data de bases de données volumineuses et une intégration de
signatures pertinentes de scénarios d’attaque ;
- Evolutive avec une possibilité d’ajouter un nouveau type de donnée à mesurer ou à prendre en
compte et par rapport l’environnement de déploiement ;
- Résistante aux différentes formes des attaques et à la diversité des cyber-menaces ;
- Ergonomique en offrant des interfaces graphiques simples et pertinentes et une représentation
de la situation adaptées à différents niveaux d’opérateurs tels que : l’équipe SOC, l’analyste, un
expert forensic, un responsable SSI, etc ;
- Flexible avec une capacité à proposer des actions automatisées en réponse à des scénarios
d’attaque reconnus.
3. Critères d’acceptabilité
- Procédures documentées d'installation et de configuration de la solution SIEM
- Procédures d'automatisation face aux différents scénarios d’attaques les plus reconnus
- Procédures spécifiques d’évaluation de performances de la solution SIEM
- Procédures de sécurisation des services fournis.
DEROULEMENT DU PROJET
1. Contraintes éventuelles
- Formation aux utilisateurs finaux
- Transfert de compétences
- Rédaction de la documentation
2. Livrables
- Dossier de spécifications fonctionnelles (CDC Fonctionnel)
- Dossier de spécification technique (CDC Technique)
- Maquette et schéma synoptique
- Rapport complet du projet
3. Planning
- Date de validation du dossier de spécifications fonctionnelles : __/__ /____
- Date de validation du dossier de spécifications techniques : __/__ /____
- Date de validation de la maquette/ schéma synoptique : __/__ /____
- Dates des tests et de la livraison : __/__ /____